SSO dmv ADFS - Configuratiedetails

Gemaakt door Jos Koedam, Gewijzigd op Do, 4 Apr om 12:00 PM op Jos Koedam

Door middel van Single Sign-On is het voor eindgebruikers eenvoudiger om in te loggen. Met één bekende combinatie van gebruikersnaam en wachtwoord kunnen gebruikers bij meerdere programma’s inloggen. RegiCare ondersteunt het gebruik van twee Microsoft-oplossingen, in dit document is de configuratie van RegiCare in combinatie met ADFS opgenomen.


open hier de informatie omtrent de configuratie van RegiCare en Azure ID

open hier de informatie omtrent de configuratie van RegiCare en 2FA


 

  1. Installeren
  2. Configureren
  3. Testen
  4. Gebruiken
  5. FAQ

 

 

1. Installeren

Om ADFS te kunnen configureren voor het gebruik in combinatie met RegiCare moet deze Windows Server functionaliteit reeds geïnstalleerd zijn in het netwerk van de klant. Tevens moet de ADFS-server van buitenaf bereikbaar zijn zodat het RegiCare platform met de omgeving kan communiceren. 

AdSysCo biedt geen ondersteuning bij de installatie en/ of het beschikbaar maken van de ADFS-server voor externe communicatie.

 

 

2. Configureren

Om ADFS te koppelen met RegiCare moet er binnen de ADFS-omgeving een nieuwe vertrouwensrelatie met de “Relying party” toegevoegd worden. In de onderstaande afbeeldingen is te zien vanuit welk menu dit gestart kan worden en welke configuraties er toegepast moeten worden.

Er is in deze handleiding gebruik gemaakt van Windows Server 2008R2 i.c.m. de Nederlandse taal).

In de wizard die nu gestart wordt is het belangrijk om in de stap Gegevensbron selecteren te kiezen voor de optie Gegevens over de relying party handmatig invoeren, zie hiervoor onderstaande afbeelding.

In de stap weergavenaam opgeven wordt de weergavenaam opgegeven, vul hier “RegiCare” in. Wanneer het mogelijk is dat er binnen het domein meerdere organisatieonderdelen gebruik gaan maken van een eigen RegiCare configuratie is het verstandig om aan de weergavenaam de naam van het betreffende organisatieonderdeel toe te voegen.

In de stap profiel kiezen moet het AD FS 2.0 Profiel gekozen worden het certificaat in de stap Certificaat configureren hoeft niet geconfigureerd te worden.

In de stap URL configureren moet de optie Ondersteuning inschakelen voor het WS-Federation Passive Protocol geselecteerd worden. In het veld URL voor het WS-Federation Passive Protocol wordt het RegiWeb adres gevolgd door /inloggen/adfs opgenomen.

In de stap die hierop volgt (ID’s configureren) kan als ID opgenomen worden urn:federation:regicare hier kan van afgeweken worden. Dit wordt alleen ondersteund wanneer er binnen de ADFS-omgeving gebruik gemaakt wordt van meerdere vertrouwensrelaties in combinatie met RegiCare.

De stap Regels kiezen voor uitgifteautorisatie die hierop volgt is momenteel niet gedocumenteerd.

In de hierop volgende stappen Gereed om vertrouwensrelatie toe te voegen en Voltooien kan direct op Volgende > geklikt worden gevolgd door Sluiten.

Het scherm Claimeregels bewerken voor RegiCare komt nu direct naar voren. Klik hier op het tabblad Transformatieregels voor uitgifte op de button “Regel toevoegen...". 

Selecteer in de stap Regeltype kiezen de optie LDAP-kenmerken verzenden als claims (zie onderstaande afbeelding). 

In de stap Claimregel configuren  moeten de volgende waarden worden ingevuld: 

Naam van de claimregel: Name ID
Kenmerkarchief: Active Directory
LDAP-Kenmerk: User-Principal-Name
Type uitgaande claim: Naam-id

Let op: wanneer de server is geconfigureerd i.c.m. de Engelse taal dan moet het “Outgoing Claim Type” ingesteld worden op de waarde “Name ID”.


?Na het toevoegen van deze informatie kan er gekozen voor de button Toepassen en is de configuratie van de ADFS-server gereed!

 

 

3. Testen


 Voordat de test kan beginnen moeten er binnen de RegiCare omgeving van de organisatie verschillende configuratie opties aangepast worden, deze moeten door de (externe) systeembeheerder doorgegeven worden aan de technische consultant van AdSysCo. De verschillende configuratie opties zijn hieronder opgenomen.

Let op: Wanneer RegiCare al in gebruik is moet het test moment in overleg bepaald worden.

 

configuration.adfsEnable = true

Door deze optie op false te zetten worden onderstaande configuratie instellingen genegeerd.

configuration.adfsIdentifier = "urn:federation:regicare"

Deze optie wordt alleen aangepast wanneer dit besloten is bij de configuratie van de stap Id’s configureren.

configuration.adfsUrl = "https://adfs.domeinnaamklant.nl/adfs/ls"

Deze optie moet altijd door AdSysCo worden aangepast, hiervoor is het door u geconfigureerde externe adres van de ADFS server nodig, hierachter wordt /adfs/ls toegevoegd.

configuration.adfsIp = ""

Door middel van deze optie kunnen er één of meerdere IPv4-adressen doorgegeven waarvoor de RegiCare authenticatie methode wordt overgeslagen. Gebruikers worden bij het raadplegen van RegiCare (via het https:// RegiWeb adres) automatisch doorgestuurd naar ADFS authenticatie pagina.

Tip: door deze pagina’s (RegiWeb & ADFS) toe te voegen aan de sites in Lokaal intranet zone worden de gebruikers volledig zonder tussenkomst van verdere login schermen ingelogd.

 

Na het doorgeven van bovenstaande configuratie opties kan er doormiddel van een active directory account ingelogd worden op RegiCare.

 

 

4. Gebruiken

Voordat de nieuwe configuratie gebruikt kan gaan worden is het belangrijk om samen met de technisch consultant te controleren of alle gebruikersnamen in RegiCare wel overeenstemmen met de SAM-account namen die opgenomen zijn in de Active Directory.

Wanneer hier duidelijkheid over is moet er datum vastgesteld worden waarop de eventuele omzetting van gebruikersnamen en de activatie van de configuratie in RegiCare gedaan kan worden. 

Laat voor deze datum de project medewerker een laatste definitieve test doen!

 

5. FAQ

 

V: Na het volgen van de configuratie werkt Singel Sign On niet vanuit verschillende browsers.

 A:
Er zijn een aantal browser versies (geweest) die niet ondersteund werden voor ADFS, deze kunnen door onderstaande powershell script op de ADFS server uit te voeren worden toegevoegd.

Set-AdfsProperties –WIASupportedUserAgents @("MSAuthHost/1.0/In-Domain","MSIE 6.0","MSIE 7.0","MSIE 8.0","MSIE 9.0","MSIE 10.0","Trident/7.0", "MSIPC","Windows Rights Management Client","Mozilla/5.0","Edge/12", “Chrome”) V: 
Na het volgend van de configuratie werkt de authenticatie helemaal niet.


 A:
Het is belangrijk dat de ADFS van buiten het eigen netwerk bereikt kan worden. Dit kan getest worden door via powershell een ping uit te voeren naar het adres waar de ADFS onder draait. 

Was dit artikel nuttig?

Dat is fantastisch!

Hartelijk dank voor uw beoordeling

Sorry dat we u niet konden helpen

Hartelijk dank voor uw beoordeling

Laat ons weten hoe we dit artikel kunnen verbeteren!

Selecteer tenminste een van de redenen
CAPTCHA-verificatie is vereist.

Feedback verzonden

We stellen uw moeite op prijs en zullen proberen het artikel te verbeteren